Le micro-entrepreneur face aux obligations du RGPD

1
1683
le micro-entrepreneur et le RGPD

Le 25 mai 2018, un nou­veau dis­po­si­tif de pro­tec­tion des don­nées per­son­nelles col­lec­tées est entré en vigueur. Il s’agit du Règlement Général sur la Protection des Données (RGPD).

Le micro-entre­pre­neur est concerné par cette nou­velle règle­men­ta­tion dès lors qu’il col­lecte et qu’il traite les don­nées per­son­nelles de ses clients.

Nous allons essayer de vous appor­ter toutes les pré­ci­sions pos­sibles, tirées d’un texte de loi euro­péen abs­cons qui n’est visi­ble­ment pas fait pour la struc­ture juri­dique d’un micro-entre­pre­neur.

Vous trou­ve­rez éga­le­ment tous les outils pour vous mettre en confor­mité avec ce règle­ment.

Le micro-entrepreneur et le RGPD

Le RGPD concerne toute orga­ni­sa­tion, orga­nisme ou entre­prise, de droit public ou privé, qui col­lecte et traite des don­nées per­son­nelles, à par­tir du moment où :

  • son siège social est éta­bli sur le ter­ri­toire de l’Union Européenne,
  • ses acti­vi­tés réa­li­sées concernent direc­te­ment les rési­dents euro­péens.

Le micro-entre­pre­neur, dans cette situa­tion, est donc concerné par le RGPD.

La définition d’une donnée personnelle

Une don­née per­son­nelle cor­res­pond à toute infor­ma­tion, directe ou indi­recte, rela­tive à une per­sonne phy­sique iden­ti­fiée ou iden­ti­fiable :

  • nom, pré­nom,
  • n° de client, n° de télé­phone, et d’une manière plus géné­rale, tous les élé­ments spé­ci­fiques à l’identité phy­sique, phy­sio­lo­gique, géné­tique, psy­chique, éco­no­mique, cultu­rel ou social de la per­sonne.

Cette per­sonne phy­sique peut ainsi être iden­ti­fiée à par­tir d’une seule don­née, mais éga­le­ment à par­tir d’un croi­se­ment d’un ensemble de don­nées.

Le traitement d’une donnée personnelle

Le trai­te­ment d’une don­née per­son­nelle sur un sup­port infor­ma­tique ou « papier », qui résulte d’un ensemble d’opérations repo­sant sur l’utilisation d’un pro­cédé (col­lecte, enre­gis­tre­ment, orga­ni­sa­tion, conser­va­tion, adap­ta­tion, modi­fi­ca­tion, extrac­tion, consul­ta­tion, uti­li­sa­tion, com­mu­ni­ca­tion, rap­pro­che­ment), doit avoir un objec­tif légal qui rentre dans le cadre de l’activité pro­fes­sion­nelle exer­cée.

Tous les sup­ports, infor­ma­tique ou « papier » sont concer­nés par le RGPD

Tout trai­te­ment de don­née doit avoir un but qui s’inscrit à la fois dans un cadre légal et en rela­tion avec l’activité pro­fes­sion­nelle exer­cée.

La définition du RGPD et les objectifs poursuivis

Le RGPD a pour mis­sion d’encadrer le trai­te­ment des don­nées per­son­nelles sur le ter­ri­toire de l’Union Européenne et de ren­for­cer le contrôle par les citoyens de l’utilisation qui est faite des don­nées les concer­nant.

Ce nou­veau cadre légal, qui s’inscrit dans la conti­nuité de la loi « Informatique et Libertés » de 1978, s’adapte à l’évolution des tech­no­lo­gies et de nos socié­tés (usage du numé­rique, com­merce en ligne, etc.).

Le micro-entre­pre­neur, concerné par le RGPD, n’a plus à faire de décla­ra­tion à la CNIL (NS48, NS50, etc.) pour être en règle avec la col­lecte et le trai­te­ment des don­nées per­son­nelles de ses clients.

Le RGPD a été ima­giné :

  • pour qu’il n’y ait aucune excep­tion dans son appli­ca­tion,
  • pour que son appli­ca­tion soit fon­dée sur la notion de ges­tion des risques afin d’offrir des marges de manœuvre en fonc­tion de la taille de l’entreprise.

Le RGPD s’applique à toute entre­prise fran­çaise (y com­pris au micro-entre­pre­neur) mais pos­sède des cri­tères d’adaptabilité qui per­mettent des solu­tions sur mesure en fonc­tion de la taille de l’entreprise concer­née.

Le micro-entrepreneur face aux obligations du RGPD

En contre­par­tie de la dis­pa­ri­tion de nom­breuses for­ma­li­tés auprès de la CNIL pour garan­tir la pro­tec­tion de la col­lecte et du trai­te­ment des don­nées per­son­nelles, la res­pon­sa­bi­lité du micro-entre­pre­neur sera ren­for­cée. Désormais, il devra être en mesure :

  • d’assurer en per­ma­nence une pro­tec­tion opti­male des don­nées col­lec­tées et trai­tées,
  • de démon­trer cette pro­tec­tion en docu­men­tant cette confor­mité.

Derrière ces prin­cipes fon­da­teurs à la signi­fi­ca­tion très abs­traite, quelles actions concrètes va devoir mener le micro-entre­pre­neur pour être en confor­mité avec le RGPD ?

Le micro-entrepreneur doit tenir un registre des activités de traitement

Prévu à l’article 30 du RGPD, c’est un docu­ment de recen­se­ment et d’analyse per­met­tant de dis­po­ser d’une vue d’ensemble de l’utilisation qui est faite des don­nées per­son­nelles. Il est obli­ga­toire quelle que soit la taille de l’entreprise. Le micro-entre­pre­neur devra donc se sou­mettre à cette obli­ga­tion.

Ce registre est le reflet du trai­te­ment qui est fait des don­nées per­son­nelles. Il devra per­mettre d’identifier :

  • les par­ties pre­nantes qui inter­viennent dans le trai­te­ment des don­nées,
  • les caté­go­ries de don­nées trai­tées,
  • à quoi servent les don­nées, qui accède aux don­nées et à qui elles sont com­mu­ni­quées,
  • com­bien de temps les don­nées sont conser­vées,
  • com­ment les don­nées sont sécu­ri­sées.

Toutefois, béné­fi­ciant d’une déro­ga­tion en faveur des Très Petites Entreprises (TPE), le micro-entre­pre­neur devra l’établir aux seules caté­go­ries de don­nées sui­vantes :

  • les trai­te­ments non-occa­sion­nels : ges­tion de la paie, ges­tion des clients/prospects et des four­nis­seurs,
  • les trai­te­ments sus­cep­tibles de com­por­ter un risque pour les droits et liber­tés des per­sonnes (exemple : sys­tèmes de géo­lo­ca­li­sa­tion, de vidéo­sur­veillance, etc.)
  • les trai­te­ments qui portent sur des don­nées sen­sibles (exemple : don­nées de santé, infrac­tions, etc.).

Le micro-entre­pre­neur devra tenir un registre des acti­vi­tés de trai­te­ment qui va lui per­mettre de docu­men­ter ce tra­vail de col­lecte et de contrôle des don­nées per­son­nelles.

Il devra pro­duire ce registre en cas de contrôle de la CNIL.

Vous avez à votre dis­po­si­tion un modèle de registre éta­bli par la CNIL en cli­quant sim­ple­ment sur l’image ci-des­sous.

registre de traitement des données

Le micro-entrepreneur gère des données personnelles

Le micro-entre­pre­neur doit désor­mais être en mesure d’offrir à ses clients la mai­trise des don­nées per­son­nelles qu’il col­lecte pour :

  • éta­blir une fac­ture,
  • enri­chir une base de don­nées,
  • envoyer un bul­le­tin d’information, une invi­ta­tion à des mani­fes­ta­tions, une offre pro­mo­tion­nelle, sous­crire un abon­ne­ment, offrir une garan­tie ou un ser­vice après-vente,
  • etc.

Le micro-entre­pre­neur insé­rera une rubrique « Protection des don­nées », acces­sible et com­pré­hen­sible, dans ses condi­tions géné­rales de vente. Il pré­voira éga­le­ment une note d’information dans les docu­ments qui servent à la col­lecte. Enfin, les clients devront avoir un moyen simple et rapide de contac­ter le micro-entre­pre­neur pour l’exercice de leurs droits d’accès, de rec­ti­fi­ca­tion, d’opposition et d’effacement.

Le micro-entre­pre­neur doit être en mesure d’informer ses clients qu’il maî­trise tota­le­ment les infor­ma­tions per­son­nelles col­lec­tées et qu’il per­met un droit d’accès total confor­mé­ment à sa Politique de confi­den­tia­lité.

Vous retrou­ve­rez un modèle de ces men­tions en cli­quant sim­ple­ment sur l’image ci-des­sous.

mention portant protection des données

Le micro-entrepreneur communique en ligne (site vitrine ou vente en ligne)

Le micro-entre­pre­neur peut avoir un site inter­net dans lequel il pré­sente son acti­vité et son entre­prise. Il peut y pro­po­ser par exemple un for­mu­laire de contact, un abon­ne­ment à une news­let­ter ou un bul­le­tin d’information.

Le RGPD lui impose de res­pec­ter quelques règles de base très simples :

  • faire appa­raître des men­tions « CNIL » en bas de son for­mu­laire de contact,
  • pro­po­ser un moyen de contact (adresse email) simple pour que les per­sonnes puissent exer­cer leurs droits,
  • rédi­ger des men­tions légales qui iden­ti­fient l’éditeur du site

Voici un modèle de for­mu­laire d’abonnement avec la demande de consen­te­ment et un mes­sage qui indique au client (ou à l’internaute) qu’il peut reti­rer son consen­te­ment et où il peut trou­ver la pro­cé­dure pour le faire.

Ce for­mu­laire sera à adap­ter en fonc­tion de sa fina­lité :

  • Le verbe exploi­ter pourra être rem­pla­cer par trai­ter ou uti­li­ser
  • La fina­lité du for­mu­laire devra clai­re­ment appa­raître : pour per­mettre de me recon­tac­ter, pour m’envoyer la news­let­ter, dans le cadre de la rela­tion com­mer­ciale qui s’instaure, etc.
formulaire de contact

Le site, vitrine ou de vente, peut dépo­ser des cookies (outils qui per­mettent d’analyser la navi­ga­tion, les dépla­ce­ments, les habi­tudes de consul­ta­tion ou de consom­ma­tion des inter­nautes). Ce site peut éga­le­ment uti­li­ser des fonc­tion­na­li­tés offertes par d’autres sites (solu­tions de sta­tis­tiques, bou­tons sociaux, etc.).

Le micro-entre­pre­neur devra veiller à obte­nir le consen­te­ment de ses clients ou des inter­nautes et en faire état dans les men­tions légales du site.

Vous avez la pos­si­bi­lité de télé­char­ger un modèle de men­tions légales et de poli­tique de confi­den­tia­lité qui tient compte des dis­po­si­tions du RGPD. Elle com­porte des élé­ments géné­raux qui néces­sitent des adap­ta­tions en fonc­tion de son uti­li­sa­tion par le micro-entre­pre­neur. L’UPSME se dégage de toute res­pon­sa­bi­lité à cet égard et rap­pelle que ce docu­ment devra faire l’objet d’une véri­fi­ca­tion et d’une vali­da­tion par un conseil juri­dique avant toute mise en ligne.

Le micro-entre­pre­neur retien­dra ces règles simples :

La sécu­ri­sa­tion des don­nées en ligne :

  • s’il pro­pose des ser­vices payants sur son site, il s’assurera que tout le par­cours de vente se fait sous https,
  • il impo­sera à ses clients ou à ses adhé­rents de créer un mot de passe com­plexe uti­li­sant à la fois des lettres minus­cules, majus­cules, des chiffres et des sym­boles par­ti­cu­liers (@, #, etc.)
  • il ne trans­met­tra aucune don­née per­son­nelle par mail,
  • il veillera enfin à ne conser­ver aucune coor­don­née ban­caire.

L’information des clients ou des adhé­rents :

  • le micro-entre­pre­neur insè­rera dans son site une page « vie pri­vée » rédi­gée de manière claire et com­pré­hen­sible.
  • Il y sera notam­ment fait men­tion de l’utilisation faite des don­nées per­son­nelles col­lec­tées.

Le contrôle des don­nées par les clients :

  • Le micro-entre­pre­neur met­tra à la dis­po­si­tion de ses clients ou adhé­rents un lien de contact facile et acces­sible pour per­mettre la rec­ti­fi­ca­tion ou l’effacement des don­nées per­son­nelles col­lec­tées.
SHARE

1 COMMENTAIRE

LAISSER UN COMMENTAIRE